Adaptación del articulo “Ransomware Spotlight: Black Basta” https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta

Black Basta es un grupo de Ransomware que opera como Ransomware como servicio (RaaS) y que fue detectado inicialmente en abril de 2022. Desde entonces ha demostrado ser una amenaza formidable, como lo demuestra su uso de tácticas de doble extorsión y la expansión de su arsenal de ataque para incluir herramientas como el troyano Qakbot y el exploit PrintNightmare.

El grupo de Ransomware Black Basta adquirió rápidamente notoriedad después de reivindicar infracciones masivas a principios de este año. El 20 de abril de 2022, un usuario bajo el nombre de «Black Basta» buscaba credenciales de acceso a redes corporativas en foros clandestinos a cambio de una parte de los beneficios de sus ataques de Ransomware. En concreto, el usuario estaba en el mercado de credenciales que pudieran comprometer a organizaciones con sede en países de habla inglesa, como Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos.

Dos días después, la Asociación Dental Americana (ADA) sufrió un ciberataque que la llevó a cerrar varios sistemas. Los datos supuestamente robados a la ADA se publicaron en el sitio de filtraciones Black Basta sólo 96 horas después del ataque.

Cadena de Infección

Como las operaciones de Black Basta se basan en el modelo RaaS, su cadena de infección puede variar en función del objetivo. La cadena de infección ilustrada a continuación detalla la variedad de tácticas y herramientas que utiliza el grupo.

Técnicas de Infección

1. Acceso Inicial:

• Datos externos informan de que un usuario llamado «Black Basta» publicaba en foros clandestinos buscando credenciales de acceso a redes corporativas, ofreciendo una parte de los beneficios de sus ataques como pago. Estos informes están respaldados por el hecho de que un ID único está codificado en cada build de Black Basta, lo que también podría significar que la banda de Ransomware no distribuye su malware de forma esporádica.
• La telemetría interna de TrendMicro muestra otro conjunto de muestras, que fueron monitoreadas en un lapso de 72 horas, que utilizaban Qakbot. El malware se descarga y ejecuta desde un archivo Excel malicioso y luego ejecuta ciertos comandos PowerShell como parte de su fase de preparación.

2. Descubrimiento:

• Black Basta utiliza scripts de PowerShell para escanear información sobre el sistema o la red comprometida.
• Utiliza las capacidades de recopilación de información de Qakbot y Cobeacon para escanear el sistema o la red comprometida.
• Utiliza herramientas de terceros, como Netcat, para escanear el sistema o la red comprometidos.

3. Evasión de la Defensa

• Black Basta utiliza un script por lotes que contiene comandos de PowerShell para desactivar las aplicaciones antimalware.
• Utiliza objetos de política de grupo (GPO) para desactivar Windows Defender y el Centro de Seguridad.
• Reinicia el ordenador de la víctima en modo seguro para eludir cualquier aplicación antimalware.

4. Escalamiento de Privilegios

• Black Basta aprovecha la vulnerabilidad PrintNightmare (CVE-2021-34527) para realizar operaciones privilegiadas y entregar la baliza Cobalt Strike (también conocida como Cobeacon) u otras cargas útiles.

5. Acceso a las Credenciales

• Black Basta Mimikatz para volcar las credenciales.

6. Movimiento Lateral

Black Basta utiliza diferentes herramientas y piezas de malware para propagar su Ransomware a otros sistemas remotos de la red:

• BITSAdmin
• PsExec
• Instrumentación de gestión de Windows (WMI)
• RDP
• Qakbot
• Cobeacon

7. Exfiltración

• Black Basta utiliza Cobeacon para exfiltrar los datos robados en un servidor de comando y control (C&C) establecido.
• Utiliza Rclone para exfiltrar datos de los sistemas comprometidos.

8. Impacto

• Black Basta utiliza el algoritmo ChaCha20 para cifrar los archivos. La clave de cifrado ChaCha20 se encripta con una clave pública RSA-4096 que se incluye en el ejecutable.
• Se han encontrado múltiples versiones del Ransomware Black Basta allí fuera
  • Una de las builds reinicia el sistema de la víctima en modo seguro, muy probablemente con fines de evasión, antes de realizar el cifrado. Esta build también modifica el servicio «Fax» para que se ejecute en modo seguro y con acceso a nivel de servicio.
  • Otra compilación contiene sólo las capacidades principales del Ransomware, como la desfiguración del fondo de pantalla, la encriptación de archivos y la eliminación de las instantáneas.
  • Una compilación recientemente encontrada tiene una nueva adición: el argumento -bomba, que teóricamente permite al Ransomware apuntar automáticamente a todas las máquinas conectadas para su encriptación.
  • La compilación de Linux del Ransomware tiene como objetivo la carpeta /vmfs/volumes, donde se encuentran las imágenes de las máquinas virtuales, para su cifrado. Para cifrar otras carpetas, los actores del Ransomware incluyen el argumento -forcepath.
• Black Basta muestra una nota del ransomware como fondo de pantalla de la víctima dirigiéndola a un archivo .txt con más detalles.

9. Otros Detalles Técnicos

• Black Basta evita encriptar los archivos en estas carpetas:
  • $Recycle.Bin
  • Windows
  • Local Settings
  • Application Data
  • Boot
• Evita encriptar archivos con estas cadenas en sus nombres de archivo:
  • o OUT.txt
  • o NTUSER.DAT
  • o readme.txt (la nota de rescate)
  • o dlaksjdoiwq.jpg (un fondo de pantalla que se encuentra en la carpeta %TEMP%)
  • o fkdjsadasd.ico (un icono utilizado para los archivos cifrados, que se encuentra en la carpeta %TEMP%)

Recomendaciones de Seguridad

Los investigadores de seguridad han especulado que Black Basta podría ser una rama de la infame banda de ransomware Conti. También ha mostrado similitudes con la banda de ransomware Black Matter, incluyendo un parecido entre sus respectivos sitios de filtración. Su posible conexión con estos grupos de ransomware podría explicar el alto nivel de experiencia interna que hay detrás de los ataques de Black Basta.

A la hora de defender los sistemas contra amenazas como Black Basta, las organizaciones pueden beneficiarse del establecimiento de marcos de seguridad que puedan asignar recursos de forma sistemática para establecer defensas sólidas contra el ransomware y beneficiarse de un enfoque de varias capas que puede ayudar a proteger posibles puntos de entrada a un sistema (punto final, correo electrónico, web y red), las cuales serán detalladas a continuación:

• Trend Micro Vision One™ brinda protección multicapa y detección de comportamiento, lo que ayuda a bloquear comportamientos sospechosos en una etapa temprana del sistema antes de que una infección de ransomware pueda causar daños irreversibles.
• Trend Micro™ Deep Discovery™ Email Inspector utiliza sandboxing personalizado y técnicas de análisis avanzadas para bloquear correos electrónicos maliciosos, incluidos los correos electrónicos de phishing que son puntos de entrada comunes para el ransomware.
• Trend Micro Apex One™ ofrece detección y respuesta de amenazas automatizadas para proteger los endpoints de problemas más avanzados, como amenazas sin archivos (fileless) y ransomware.
• Trend Micro Workload Security, ofrece detección y respuesta de amenazas automatizadas para proteger los servidores (on premise y nube) de problemas más avanzados, como amenazas sin archivos (fileless) y ransomware.
• Lumu Insights, esta solución se encarga de reunir, normalizar y analizar un amplio rango de metadata, incluyendo DNS, Netflows, registros de acceso a proxys, firewalls y Spambox. El nivel de visibilidad que brinda Lumu a partir del análisis de estas fuentes de datos, permite entender el comportamiento de la red de su empresa y obtener evidencia su nivel único de compromiso.